Il 25 maggio entra in vigore il GDPR, General Data Protection Regulation, l’adeguamento al Regolamento UE n. 679/2016 sul trattamento e la protezione dei dati personali. Si tratta di una normativa che obbliga le organizzazioni ad assumersi maggiori responsabilità sui dati degli utenti e a proteggerli con cura.
Leggi il testo integrale del GDPR
La General Data Protection Regulation sarà applicata a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea. Le norme si applicano dunque anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno rispettare le nuove regole. Chi non le rispetta sarà soggetto a sanzioni, come riporta questo articolo di InsuranceUp.
Le sanzioni pecuniarie
Le sanzioni per comportamenti scorretti possono arrivare sino al 4% del fatturato globale o a 20 milioni di euro e possono essere inflitte a persone fisiche, a soggetti giuridici privati o pubblici, specificamente ai titolari e i responsabili del trattamento, ovvero il DPO (Data Protection Officer, nuova figura introdotta dal GDPR) oppure gli organismi di certificazione e di monitoraggio dei codici di condotta.
Le sanzioni penali
Non solo sanzioni amministrative, il mancato adeguamento al GDPR prevede anche sanzioni penali.
Come riporta l’articolo di InsuranceUp, nel nostro Paese il GDPR andrà a integrarsi (e sostituire in parte) il Codice Privacy, che dovrebbe rimanere quello applicabile per le sanzioni penali. Il Codice Privacy stabilisce sanzioni penali per il trattamento illecito dei dati, con pene che vanno da sei mesi a 18 mesi di reclusione e, in determinate condizioni, fino a tre anni. Resta anche la reclusione da sei mesi a tre anni per falsa dichiarazione di fronte al Garante privacy.C’è poi una differenza sostanziale tra responsabilità penale e amministrativa: la prima è sempre personale, mentre la seconda può essere comminata sia alla persona fisica che all’azienda.
Datagate, che cos’è il GDPR e come l’Europa vuole proteggere i nostri dati
Il controllo da parte del Garante della Privacy
In Italia l’autorità competente ad occuparsi del controllo è il Garante della Privacy. In questo intervento su Agenda Digitale, l’avvocato Catia Maietta, spiega il compito del Garante: “All’autorità di controllo sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, nonché il potere di infliggere sanzioni amministrative pecuniarie.” E aggiunge: “È certamente un potere enorme avere a disposizione i dati personali, soprattutto su larga scala, e lo si percepisce dall’utilizzo che negli ultimi anni si è fatto degli stessi per le finalità più disparate, ed è altrettanto indispensabile, quindi, che i singoli individui inizino a prendere coscienza e consapevolezza del valore dei propri dati, dell’uso che degli stessi viene e verrà sempre più fatto, nonché del potere della quantità e qualità di informazioni ricavabili dagli stessi”.
Chi risponde delle violazioni
Il GDPR sancisce il principio di accountability, che prevede la responsabilizzazione del titolare del trattamento nel “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di mostrare, che il trattamento è effettuato conformemente al regolamento”
Il titolare del trattamento può delegare terzi nella gestione dei dati: il responsabile del trattamento (nel Gdpr data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.
Il titolare del trattamento conserva il potere decisionale, è colui che decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa.
Per quanto riguarda invece il DPO (Data Protection Officer) questa figura non è personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali, perché è compito del titolare mettere in atto le misure tecniche ed organizzative adeguate. Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare.
Per sapere di più continua a leggere su InsuranceUp